xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

1st Choice FTPPro 保存的密码不安全


发布时间:2001-08-02
更新时间:2001-08-02
严重程度:
威胁程度:口令恢复
错误类型:设计错误
利用方式:服务器模式

受影响系统
1st Choice FTPPro version 8.20
详细描述
1st Choice's FTPPro (http://www.ftppro.com/)类似WINDOWS 资源管理器,
允许你传送文件,其中存在一个安全漏洞可以泄露用户名和密码。1st
Choice's FTPPro储存着明文密码在Profiels.dat中,下面是两个不同的
Profile文件:

00000000 A286 0100 0000 0000 0E53 616D 706C 6520 .........Sample
00000010 5072 6F66 696C 6511 6674 702E 6D69 6372 Profile.ftp.micr
00000020 6F73 6F66 742E 636F 6D01 0000 0000 0000 osoft.com.......
00000030 144D 6963 726F 736F 6674 2773 2046 5450 .Microsoft's FTP
00000040 2053 6974 6501 0000 0001 0000 0012 6461 Site.........da
00000050 6E69 656C 2E77 6973 6368 6E65 7773 6B69 niel.wischnewski
00000060 1366 7470 2E77 6973 6368 6E65 7773 6B69 .ftp.wischnewski
00000070 2E6E 6574 0000 0000 0472 6F6F 7405 3331 .net.....root.31
00000080 3333 3700 0000 0000 0000 0000 00 337..........

第一个Profile:

Profile name: Sample Profile
FTP address : ftp.microsoft.co
用户ID和密码没有设置 FTPPro 会使用用户名 "anonymous" 和密码为"IEUser@".

第二个Profile:


Profile name: daniel.wischnewski
FTP address: ftp.wischnewski.net
User id: root
Password: 31337

测试代码
见描述部分。

解决方案
尚无

相关信息
daniel at wischnewski.net